Una investigación de Sygnia Labs y Verichains confirmó que los hackers de Bybit explotaron una máquina de desarrollo comprometida de Safe Wallet para robar los fondos. Mientras el exchange afirma que sus sistemas no fueron violados, Safe reconfiguró su infraestructura para eliminar las vulnerabilidades.
Bybit, uno de los exchanges de criptomonedas más grandes del mundo, sufrió un robo de más de $1.400 millones de dólares en Ethereum. Los detalles del ataque, revelados en un informe forense reciente, realizado en conjunto por las firmas Sygnia Labs y Verichains, apuntan a un vector poco común: la manipulación de código en la plataforma de Safe Wallet, un proveedor de billeteras de hardware multifirma utilizadas por las instituciones.
Según el informe, los atacantes accedieron a una máquina de desarrollo de Safe para reemplazar el archivo JavaScript en app.safe.global, el portal oficial de gestión de activos. Este código malicioso se activó durante una transacción rutinaria de Bybit, redirigiendo los fondos hacia direcciones controladas por Lazarus Group, un grupo de hackers vinculado a Corea del Norte, que ha sido señalado como el autor del ataque.
PREPARA TU WALLETAunque Bybit asegura que sus propios sistemas no fueron comprometidos, el incidente expone riesgos críticos en la seguridad operacional de proveedores de servicios blockchain.
Safe Wallet, por su parte, confirmó la vulnerabilidad y anunció la reconfiguración total de su infraestructura. Sin embargo, expertos como Michael Lewellen, de Blockaid, señalan que el ataque pudo evitarse con verificaciones independientes de las transacciones, un estándar aún ausente en muchas plataformas.
La ingeniería silenciosa: cómo se infiltró el código fantasma
De acuerdo con el análisis forense presentado por las firmas, el ataque contra Bybit comenzó semanas antes del robo. Los hackers de Lazarus Group comprometieron una computadora de desarrollo de Safe Wallet mediante técnicas de ingeniería social. Según Sygnia Labs, sustituyeron el archivo safe-transaction.js en el sitio app.safe.global por una versión maliciosa almacenada en Amazon S3 y distribuida a través de CloudFront, servicios de hosting y entrega de contenido de AWS.
Este código camuflado funcionó como un caballo de Troya, ya que permaneció inactivo hasta que Bybit inició una transacción de rutina desde su billetera de hardware multifirma. En ese momento, los hackers modificaron las direcciones de destino sin alterar la interfaz visible para los firmantes. Debido a ello, tres ejecutivos de Bybit aprobaron la operación creyendo que era legítima, mientras el script desviaba los fondos hacia direcciones controladas por los hackers.
COMPRA BITCOINVerichains identificó que el ataque fue cronometrado para coincidir con una transferencia programada, maximizando el impacto. El código malicioso se eliminó dos minutos después del robo, intentando borrar evidencias, pero quedó registrado en archivos públicos como Wayback Machine.
Bybit vs. Safe: la batalla por la responsabilidad del hackeo
Mientras Bybit sostiene que sus sistemas internos no fueron vulnerados, Safe Wallet atribuye el incidente a una brecha en una sola máquina de desarrollo. Ben Zhou, CEO de Bybit, compartió en X los detalles del informe forense, mientras que Safe reconoció que una computadora de desarrollo se vio comprometida permitiendo el hack. También aseguró que ha añadido medidas de seguridad para eliminar el vector de ataque.
“La revisión forense del ataque dirigido por Lazarus en Bybit concluyó que este ataque dirigido a la billetera Safe de Bybit se logró a través de una máquina comprometida de un desarrollador de Safe Wallet, lo que resultó en la propuesta de una transacción maliciosa disfrazada. Lazarus es un grupo de hackers norcoreanos patrocinado por el estado que es bien conocido por sus sofisticados ataques de ingeniería social contra las credenciales de los desarrolladores, a veces combinados con exploits de día cero”, comentó.
Certificado
Curso de Blockchain
Nivel básicoEntra en este curso donde te explicamos blockchain de una manera clara, sencilla y concisa para que tengas una idea muy clara de en qué consiste esta nueva tecnología.
Lazarus Group: el espectro norcoreano en la sombra
Los analistas de ciberseguridad, como ZachXBT, rastrearon los fondos robados hacia una red de billeteras digitales, muchas vinculadas a hackeos previos como los de Phemex y Atomic Wallet. Lazarus Group, financiado por el régimen de Corea del Norte, ha perfeccionado métodos para evadir sanciones económicas mediante criptomonedas.
INVITA Y GANAEl hackeo a Bybit evidencia un problema sistémico en la seguridad de las infraestructuras blockchain: la dependencia de terceros expone a incluso los actores más grandes a riesgos impredecibles. Este lamentable episodio refuerza la necesidad de que las empresas implementen verificaciones multicapa, desde análisis de transacciones hasta una gestión rigurosa de accesos internos.
Para los usuarios, la lección es doble: las billeteras multifirma, aunque seguras en teoría, no son invulnerables si los procesos operativos fallan. Y frente a actores como Lazarus Group, cuya sofisticación rivaliza con estados nación, la industria debe priorizar la colaboración sobre la competencia.
La inversión en criptoactivos no está totalmente regulada, puede no ser adecuada para inversores minoristas debido a su alta volatilidad y existe riesgo de perder la totalidad de los importes invertidos.
